虚拟专用网络(VPN)是在网络内或网络之间建立的安全连接。VPN用于隔离指定主机和网络之间的流量与未授权主机和网络的流量。本文介绍如何在RV215W上配置高级VPN设置。
· RV215W
•1.1.0.5
此过程说明如何配置高级VPN设置的初始设置。
步骤1.登录到Web配置实用程序,然后选择VPN > Advanced VPN Setup。“高级VPN设置”页打开:
步骤2.(可选)如果要为VPN连接启用网络地址转换(NAT)遍历,请选中NAT遍历字段中的启用复选框。NAT穿越允许在使用NAT的网关之间建立VPN连接。如果VPN连接通过启用NAT的网关,请选择此选项。
步骤3.(可选)如果要启用要通过VPN连接发送的网络基本输入/输出系统(NetBIOS)广播,请选中NETBIOS字段中的启用复选框。NetBIOS允许主机在LAN内相互通信。
互联网密钥交换(IKE)是用于在VPN中建立通信安全连接的协议。此已建立的安全连接称为安全关联(SA)。 此过程说明如何为VPN连接配置IKE策略以用于安全。要使VPN正常运行,两个端点的IKE策略应相同。
步骤1.在IKE策略表中,单击添加行以创建新的IKE策略。要编辑IKE策略,请选中该策略的复选框,然后单击Edit。“高级VPN设置”页更改:
步骤2.在Policy Name字段中,输入IKE策略的名称。
步骤3.从Exchange Mode下拉列表中,选择一个选项。
· Main — 此选项允许IKE策略比主动模式更安全但更慢地运行。如果需要更安全的VPN连接,请选择此选项。
·主动 — 此选项允许IKE策略比主模式运行更快但安全性较低。如果需要更快的VPN连接,请选择此选项。
步骤4.从Encryption Algorithm下拉列表中,选择一个选项。
· DES — 数据加密标准(DES)是一种56位旧式加密方法,它不是一种非常安全的加密方法,但可能需要它才能向后兼容。
· 3DES — 三重数据加密标准(3DES)是一种168位的简单加密方法,用于增加密钥大小,因为它对数据加密三次。这比DES提供更高的安全性,但比AES安全性更低。
· AES-128 — 高级加密标准,带128位密钥(AES-128),使用128位密钥进行AES加密。AES比DES更快、更安全。通常,AES也比3DES更快、更安全。AES-128比AES-192和AES-256更快,但安全性较低。
· AES-192 - AES-192使用192位密钥进行AES加密。AES-192比AES-128慢但更安全,比AES-256快但不安全。
· AES-256 - AES-256使用256位密钥进行AES加密。AES-256比AES-128和AES-192慢,但更安全。
步骤5.从Authentication Algorithm下拉列表中,选择一个选项。
· MD5 — 消息摘要算法5(MD5)使用128位哈希值进行身份验证。MD5的安全性较低,但比SHA-1和SHA2-256快。
· SHA-1 — 安全哈希函数1(SHA-1)使用160位哈希值进行身份验证。SHA-1比MD5慢但更安全,而SHA-1比SHA2-256快但不安全。
· SHA2-256 — 具有256位哈希值(SHA2-256)的安全哈希算法2使用256位哈希值进行身份验证。SHA2-256比MD5和SHA-1慢但安全。
步骤6.在Pre-Shared Key字段中,输入IKE策略使用的预共享密钥。
步骤7.从Diffie-Hellman(DH)组下拉列表中,选择IKE使用的DH组。DH组中的主机可以在彼此不知情的情况下交换密钥。组位数越高,组就越安全。
步骤8.在SA-Lifetime字段中,输入VPN的SA在续约SA之前的持续时间(以秒为单位)。
第9步。(可选)选中Dead Peer Detection字段中的Enable复选框以启用Dead Peer Detection(DPD)。DPD监控IKE对等体,以查看对等体是否已停止运行。DPD可防止在非活动对等体上浪费网络资源。
第10步。(可选)如果在第9步中启用DPD,请在DPD Delay字段中输入检查对等体活动的频率(以秒为单位)。
第11步。(可选)如果在第9步中启用了DPD,请在DPD Timeout字段中输入在丢弃非活动对等体之前等待的秒数。
第12步。(可选)选中XAUTH Type字段中的Enable复选框以启用扩展身份验证(XAUTH)。XAUTH允许多个用户使用单个VPN策略,而不是每个用户的VPN策略。
第13步。(可选)如果在第12步中启用XAUTH,请在Username字段中输入要用于策略的用户名。
第14步。(可选)如果在第12步中启用XAUTH,请在Password字段中输入用于策略的密码。
步骤15.单击“保存”。系统将重新显示原始的“高级VPN设置”页。
此过程说明如何配置VPN连接的VPN策略。要使VPN正常运行,两个终端的VPN策略应相同。
步骤1.在VPN策略表中,单击添加行以创建新的VPN策略。要编辑VPN策略,请选中该策略的复选框,然后单击Edit。“高级VPN设置”页更改:
步骤2.在Policy Name字段中,输入VPN策略的名称。
步骤3.从Policy Type下拉列表中,选择一个选项。
·手动策略 — 此选项允许您配置密钥以进行数据加密和完整性。
·自动策略(Auto Policy) — 此选项使用IKE策略进行数据完整性和加密密钥交换。
步骤4.从Remote Endpoint下拉列表中,选择一个选项。
· IP Address — 此选项通过公有IP地址标识远程网络。
· FQDN — 此选项使用完全限定域名(FQDN)来标识远程网络。
步骤5.在Remote Endpoint下拉列表下的文本输入字段中,输入远程地址的公有IP地址或域名。
步骤6.从Local IP下拉列表中,选择一个选项。
·单个 — 此选项使用单台主机作为本地VPN连接点。
·子网 — 此选项使用本地网络的子网作为本地VPN连接点。
步骤7.在IP Address字段中,输入本地子网或主机的主机或子网IP地址。
步骤8.(可选)如果在步骤6中选择了子网,请在子网掩码字段中输入本地子网的子网掩码。
步骤9.从Remote IP下拉列表中,选择一个选项。
·单个 — 此选项使用单台主机作为远程VPN连接点。
·子网 — 此选项使用远程网络的子网作为远程VPN连接点。
步骤10.在IP Address字段中,输入远程子网或主机的主机或子网IP地址。
步骤11.(可选)如果在步骤9中选择了子网,请在子网掩码字段中输入远程子网的子网掩码。
注意:如果在步骤3中选择手动策略,请执行步骤12至步骤19;否则,请跳过步骤20。
步骤12.在SPI-Incoming字段中,为VPN连接上的传入流量输入安全参数索引(SPI)标记的三到八个十六进制字符。SPI标记用于区分一个会话的流量与其他会话的流量。
步骤13.在SPI-Outgoing字段中,为VPN连接上的传出流量输入SPI标记的三到八个十六进制字符。
步骤14.从Encryption Algorithm下拉列表中,选择一个选项。
· DES — 数据加密标准(DES)是一种56位旧式加密方法,它不是一种非常安全的加密方法,但可能需要它才能向后兼容。
· 3DES — 三重数据加密标准(3DES)是一种168位的简单加密方法,用于增加密钥大小,因为它对数据加密三次。这比DES提供更高的安全性,但比AES安全性更低。
· AES-128 — 高级加密标准,带128位密钥(AES-128),使用128位密钥进行AES加密。AES比DES更快、更安全。通常,AES也比3DES更快、更安全。AES-128比AES-192和AES-256更快,但安全性较低。
· AES-192 - AES-192使用192位密钥进行AES加密。AES-192比AES-128慢但更安全,比AES-256快但不安全。
· AES-256 - AES-256使用256位密钥进行AES加密。AES-256比AES-128和AES-192慢,但更安全。
步骤15.在Key-In字段中,输入入站策略的密钥。密钥长度取决于步骤14中选择的算法。
· DES使用8个字符的密钥。
· 3DES使用24个字符的键。
· AES-128使用12个字符的密钥。
· AES-192使用24个字符的密钥。
· AES-256使用32个字符的密钥。
步骤16.在Key-Out字段中,输入传出策略的密钥。密钥长度取决于步骤14中选择的算法。密钥长度与步骤15相同。
步骤17.从Integrity Algorithm下拉列表中,选择一个选项。
· MD5 — 消息摘要算法5(MD5)使用128位哈希值实现数据完整性。MD5的安全性较低,但比SHA-1和SHA2-256快。
· SHA-1 — 安全散列函数1(SHA-1)使用160位散列值来实现数据完整性。SHA-1比MD5慢但更安全,而SHA-1比SHA2-256快但不安全。
· SHA2-256 — 具有256位哈希值(SHA2-256)的安全哈希算法2使用256位哈希值来实现数据完整性。SHA2-256比MD5和SHA-1慢但安全。
步骤18.在Key-In字段中,输入入站策略的密钥。密钥长度取决于步骤17中选择的算法。
· MD5使用16个字符的键。
· SHA-1使用20个字符的密钥。
· SHA2-256使用32个字符的密钥。
步骤19.在Key-Out字段中,输入传出策略的密钥。密钥长度取决于步骤17中选择的算法。密钥长度与步骤18相同。
注意:如果在步骤3中选择Auto Policy,请执行步骤20至步骤25;否则,请跳至步骤26。
步骤20.在SA-Lifetime字段中,输入SA在续约前持续的时间(以秒为单位)。
步骤21.从Encryption Algorithm下拉列表中,选择一个选项。
· DES — 数据加密标准(DES)是一种56位旧式加密方法,它不是一种非常安全的加密方法,但可能需要它才能向后兼容。
· 3DES — 三重数据加密标准(3DES)是一种168位的简单加密方法,用于增加密钥大小,因为它对数据加密三次。这比DES提供更高的安全性,但比AES安全性更低。
· AES-128 — 高级加密标准,带128位密钥(AES-128),使用128位密钥进行AES加密。AES比DES更快、更安全。通常,AES也比3DES更快、更安全。AES-128比AES-192和AES-256更快,但安全性较低。
· AES-192 - AES-192使用192位密钥进行AES加密。AES-192比AES-128慢但更安全,比AES-256快但不安全。
· AES-256 - AES-256使用256位密钥进行AES加密。AES-256比AES-128和AES-192慢,但更安全。
步骤22.从Integrity Algorithm下拉列表中,选择一个选项。
· MD5 — 消息摘要算法5(MD5)使用128位哈希值实现数据完整性。MD5的安全性较低,但比SHA-1和SHA2-256快。
· SHA-1 — 安全散列函数1(SHA-1)使用160位散列值来实现数据完整性。SHA-1比MD5慢但更安全,而SHA-1比SHA2-256快但不安全。
· SHA2-256 — 具有256位哈希值(SHA2-256)的安全哈希算法2使用256位哈希值来实现数据完整性。SHA2-256比MD5和SHA-1慢但安全。
步骤23.选中PFS密钥组中的Enable复选框以启用完全转发保密(PFS)。PFS提高了VPN安全性,但降低了连接速度。
第24步。(可选)如果您选择在第23步中启用PFS,请为以下下拉列表选择要加入的Diffie-Hellman(DH)组。组编号越高,组就越安全。
步骤25.从Select IKE Policy下拉列表中,选择要用于VPN策略的IKE策略。
注意:如果单击“View”,则会指向“Advanced VPN Setup”页面的“IKE配置”部分。
步骤26.单击“保存”。系统将重新显示原始的“高级VPN设置”页。
步骤27.单击“保存”。